ExBB Community :: Версия для печати :: Уязвимость на форуме? [2]

16. 1Bot - 25 декабря 2013 — 08:14 - перейти к сообщению

Ранее уже обсуждали, но еще раз попробую напомнить:
Во все каталоги, кроме корневого для форума, рекомендую закачать (или добавить строчки к существующему) .htaccess с содержимым:

CODE:

php_flag engine 0
AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp

<Files ~ "\.(php[2-5]?|cgi|pl|fcgi|fpl|phtml|shtml|asp|jsp)$">
Deny from all
</Files>

<Files .htaccess>
order allow,deny
deny from all
</Files>

Этим самым мы отключаем PHP в данном каталоге и заставляем для скриптов закрыть доступ.
Можно конечно попробовать загрузить и перезаписать сам .htaccess. Поэтому необходимо запретить конкретно у .htaccess права на запись.

CODE:

# chmod a-w .htaccess

17. nikk - 25 декабря 2013 — 12:28 - перейти к сообщению

сейчас опять прогнал скриптом свой форум и скрипт нашел:

CODE:

AI-BOLIT-DOUBLECHECK.php already exists.
Найдены сигнатуры шелл-скрипта. Подозрение на вредоносный скрипт:

/uploads/att-20-50819df2d47ae.jpg
؞Q��9�k�kc�j�0��ϖ.2(�g��}p�c��O��E�$��+[�&m��n�Զ��e�u��(۸zg��Ě�|AM!Rdh��C�zSMѧ��XS6� ��n��m!n#��r9��9�t��4��r2�U�8>�u��

То-есть обычная фотка в формате jpg считается как вредный код?????
Яндекс-то опять присвоил метку о зараженности форума, может быть от фотки такие санкции? Растерялся

18. 1Bot - 25 декабря 2013 — 14:07 - перейти к сообщению

nikk
Пожалуйста, упакуйте этот файл и залейте сюда для анализа.

19. roma1 - 25 декабря 2013 — 14:22 - перейти к сообщению

nikk ещё мысль хотя непрофисеональная но изложу, у Вас на форуме можно гостям писать сообщения введя капчу, возможно ли ботам или злоумышленникам пробить эту защиту и подгрузить в сообщение таким путём вредоносный код? Ведь видно по статистике что 100 ботов не пробивают регистрацию но единицы все же попадают на форум и мы их удаляем. Почему злоумышленники не могут пробить вашу защиту в темах для написания сообщений гостями? это просто мысль дилетанта, может и нет с этим проблем.

20. nikk - 25 декабря 2013 — 14:45 - перейти к сообщению

1Bot пишет:

Пожалуйста, упакуйте этот файл и залейте сюда для анализа.

А я это... того... удалил короче.. Да и чего там может быть, фотка на jpg.. Растерялся

(Добавление)

roma1 пишет:

Почему злоумышленники не могут пробить вашу защиту в темах для написания сообщений гостями?

Мысль здравая, но у меня кажется все форумы от гостей закрыты..

Проверю-доложу... )

21. 1Bot - 25 декабря 2013 — 15:01 - перейти к сообщению

nikk пишет:

А я это... того... удалил короче.. Да и чего там может быть, фотка на jpg..

оперативно!

22. WebMaster - 25 декабря 2013 — 15:09 - перейти к сообщению

Кстати, что мешает переименовать php файл в .jpg и уже выполнить его.

23. nikk - 25 декабря 2013 — 15:14 - перейти к сообщению

WebMaster пишет:

Кстати, что мешает переименовать php файл в .jpg и уже выполнить его.

Что мешает-что мешает? Щас-то уже ничего не мешает, а когда увидел, то со злости удалил мгновенно! Улыбка

24. 1Bot - 25 декабря 2013 — 15:21 - перейти к сообщению

WebMaster пишет:

что мешает переименовать php файл в .jpg и уже выполнить его.

Форум вообще-то прикрепляемые файлы - не картинки сжимает в архив, а вот картинки оставляет. Другое дело как apache интерпретирует файлы с расширениями .jpg .bmp .gif, ведь вполне может быть что на эти расширения вызывается apache-м заданный модуль для обработки.

25. nikk - 25 декабря 2013 — 15:31 - перейти к сообщению

но неужели картинка может быть вредоносным кодом? Я уже три раза отправлял Яндексу форум на проверку, и три раза Яша возвращял с пометкою "заражен".. Растерялся

Там уже чистить-то нечего, да трафик упал в три раза.. С 1400 чел до 400-500.. Огорчение

(Добавление)
Одно "радует", форум зато щас не падает, посещаемость-то упала, соответственно и нагрузка на сервер стала меньше. Подмигивание

26. BON - 25 декабря 2013 — 15:39 - перейти к сообщению

nikk пишет:

о неужели картинка может быть вредоносным кодом?

может. яндекс сканит, неужели не говорит где косяк и на что конкретно ругается ?

27. nikk - 25 декабря 2013 — 15:51 - перейти к сообщению

BON пишет:

яндекс сканит, неужели не говорит где косяк и на что конкретно ругается ?

Yandex/MalTds

CODE:

Данный вердикт означает, что на странице присутствует тег <iframe>, атрибут src которого содержит доменное имя источника вредоносного ПО. Также тег <iframe> содержит атрибуты width и height со значениями от 0 до 2, либо код JavaScript. Данный код при исполнении добавляет тег <ifreme> на страницу.
Также тег <iframe> может включать в себя дополнительные атрибуты: frameborder=0, style="VISIBILITY:hidden",style="display:none".
Чтобы удалить вредоносный код с сервера, воспользуйтесь нашими инструкциями.
Примеры вредоносного кода, по которым выносится вердикт Yandex/MalTds:

28. nikk - 25 декабря 2013 — 16:24 - перейти к сообщению

1Bot пишет:

Например
1) на папки форума необходимо задать права доступа на чтение/запись/выполнение для группы
CODE:
# chmod 770
:

У меня на эти папки стоит 755... Это нормально?

29. - 25 декабря 2013 — 17:14 - перейти к сообщению

Пока никаких фреймов в коде страниц не нахожу, скорее всего Яндекс немного отстает от реальности. Ждем-с.

30. roma1 - 25 декабря 2013 — 17:38 - перейти к сообщению

вот хотел зайти блин.